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ABSTRACT 

A system basis chip (SBC) is shown, detecting and tracing cyclic failure situations within ECU'S in order to prevent a system from permanent hi 
consumption. Some continuously supplied general-purpose bits within the SBC allow to store failure events using application software and to ke 
ion available, even if the application controller was un-powered due to failure or certain low-power mode. A dedicated register within tl 
different failure events and thus tracking of different cyclic problems. If a user-defined limit is exceeded, the application 
not slatting again but enter immediately a low-power condition. 
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Systemchip mit Fehlerstatistik Unterstutzung 

(System chip supporting failure statistics) 

1. PROBLEMBESCHREIBUNG 

Moderne Steuergerate in der Automobilelektronik verweiideii heute keine festprogrammierten 
Microcontroller, da durch das fest vorgegebene Programm keine Modifikationen in der laufenden 
Serienproduktion bzw. beim Endkunden mehr vorgenommen werden konnen. KFZ Hersteller gehen 
daher dazu iiber, sog, FLASH Speicher innerhalb der Microcontroller zu verwenden, die es erlaiiben, 
den Programmcode jederzeit zu iiberschreiben. Das kann sowohl in der Prodiiktion als auch in der 
Auto-Werkstatt erfolgen. 

Nachteil solcher Flash Speicher ist, dass prinzipiell die Moglichkeit des partiellen Programmverlustes 
wahrend der Lebensdauer eines Autos besleht und damit die eingebrannte Software an beliebiger 
Stelle abstiirzen kann. Diese Programmabstiirze konnen nun dazu liihren, dass ein Steuergerat nicht 
mehr ordnungsgemaB in einen Zustand mit verminderter Stromaufnahme gebracht werden kann. Damit 
wurde ein solches Fahrzeug auch im abgestellten Zustand (Zlindung aus) permanent eine erhohte 
Stromaufnahme haben, die die Fahrzeugbatterie entladt und damit im schlimmsten Fall einen 
Fahrzeugstart unmoglich macht. 

Bedingt durch die serielle Vernetzung aller Steuergerate kann die Tragweite eines solchen Fehlers 
extrem groB werden. Ein defektes Steuergerat mit gestortem FLASH Speicher kann iiber die 
Vernetzung permanent das gesamte Fahrzeug aufwecken und so zu extremen Stromverbrauchen 
fuhren. 

Das gleiche Problem besteht fur alle andere, zyklisch auftretenden Fehler, die zu einem permanenten 
Zuriicksetzen des Steuergerates fuhren, wie Kurzschliisse in der Versorgung (Unterspannung durch 
Einschalten eines Verbrauchers ....) usw. 

2. STAND DER TECHNIK 

Nach dem Stand der Technik wird versucht, das System verhalten durch einen Watchdog Block 
(konfigurierbarer Timer mit unabhangiger Taktquelle) innerhalb des Steuergerates zu erkennen. Wenn 
eine Software nicht mehr den geordneten und von der Software vorgesehenen Weg verfolgt, soil der 
Watchdog den Microcontroller zuilicksetzen und so den geplanten Progranimablauf wieder herstellen. 

Der Watchdog kann aber nicht helfen, wenn es immer wieder an einer beliebiger Stelle im Programm 
zu einem Absturz der Software bzw. einem Reset durch z.B. Unterspannung kommt, der Watchdog 
Oder der Unterspannungserkenner das Steuergerat zuriicksetzt und dann irgendwann wieder an der 



Softwarestelle abstUrzt bzw. eine Unterspannung verursacht. Es entsteht so eine Endlosschleife, aiis 
der das Steuergerat nicht herauskommt. 



3. ERFINDUNG 

Es wird daher vorgeschlagen, in der Applikation einen nichtfliichtigen Speicherbereich vorziiseheii, 
der es der Applikationssoftware erlaubt, eine Fehlerstatistik zu flihren. Dieser Speicher soilte 
auBerhalb des Mikrocontrollers angeordnet sein und unabhangig versorgt sein, damit audi 
Kurzschlusse der Versorgungsspannung am Microcontroller nicht zu einem Verlust der Statistik-Daten 
flihren. Weiterhin erlaubt ein solcher unabhangig versorgter Speicher, dass der Microcontroller 
zwischenzeitlich einen geplanten Betrieb ohne Stromversorgung nutzen kann (Sleep Mode), ohne die 
Statistikdaten zu verlieren. 

Es wird weiterhin vorgeschlagen, den Schreibzugang zu dem Speicherbereich nur dann zuzulassen, 
wenn das System nach einem Rucksetzvorgang wieder startet. Damit wird ausgeschlossen, dass im 
Betrieb versehentlich (durch defekte Software) der Speicher tiberschrieben wird. Ein Lesezugang sollte 
dagegen immer m5glich sein, um jederzeit eine Systemdiagnose zu ermoglichen. 

Weiterhin wird vorgeschlagen, die Ursache eines Rucksetzereignisses zu erfassen und dem 
Microcontroller bei Bedarf zur Verfugung zu stellen. Auf diese Weise konnen verschiedene 
Riicksetzereignisse erfasst und gesondert behandelt werden. 

Schliigt beispielsweise der Watchdog an (FLASH Speicher defekt) , wird dieses Rucksetzereignis dem 
Microcontroller mitgeteilt und die Applikationssoftware speichert diese Information im nichtfliichtigen 
Speicher ab. Fur jedes derartige Rucksetzereignis kann die Software diesen Fehlerspeicher z.B. 
hochzahlen und bei Erreichen eines beliebigen Zahlerstandes entscheiden, nicht mehr normal zu 
starten, sondern einen Fehlersicheren Zustand mit geringer Stromaufnahme anzunehmen. 

Besonders geeignet ist die Verwendung eines System Chips (System Basis Chip, SBC), der dazu diciil, 
sowohl die Spannungsversorgung des Mikrocontrollers, als auch den Watchdog und die Rcscl- 
Hardware mit Unterspannungserkennung bereitzustellen. Innerhalb dieses permanent von der Battcrie 
versorgten Systemchips kann auf einfache Weise der oben beschriebene Speicher mittels RAM 
implementiert werden, da hier permanent Spannung zur Verfugung steht (Kostenvorteil gegeniiber 
EEPROM). Weiterhin kann in dem SBC vorteilhaft die Erkennung des Reset-Ereignisses erfolgen und 
gespeichert werden, da dieser selbst die KontroUer des System-Resets iibernimmt. Damit kann der 
Systemchip auch optimal die Verriegelung der Speicherbits vornehmen, da der SBC selbst den 
Systemstart kontrolliert und nach erfolgreichem Start den Speicher sperren kann. 
Es stehen so dem Anwender alle erforderlichen Komponenten zu Verfugung, um ein fehlersicheres 
System zu ent\vickeln. Besonders vorteilhaft ist die Flexibilitat dieses Ansatzes, da keine fest 
vorgegebenen Automatismen im SBC eingebaut werden miissen. Das Sicherheitskonzept fiir eine 
Applikation ist so optimal anpassbar und kann beliebig vom Anwender skaliert und defmiert werden. 
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4. HAUPT-CLAIMS 



1) Systemchip, der niindestens einige frei fur die Applikation verfugbare Speicherbits zur Verfiigmig 
stellt, die permanent von der Batterie versorgt sind und vom Applikations- Microcontroller gelesen 
und beschrieben werden konnen. 

2) Systemchip, der es erlaubt, verschiedene Riicksetzereignisse zu unterscheiden und fiir den 
Applikations- Microcontroller zuganglich zu machen. 

3) Systemchip, der den Schreibzugang zu den frei programmierbaren Speicherbits nur wahrcnd des 
Systemstarts zulasst, um fehlerhafte Schreibzugriffe im Betrieb zu verhindern. 

4) Systemchip, der den Lesezugang zu den frei programmierbaren Speicherbits imnier ermoglicht. 
5. ABSTRAT 

A system basis chip (SBC) is shown, detecting and tracing cyclic failure situations within ECU's in 
order to prevent a system from permanent high current consumption. Some continuously supplied 
general-purpose bits within the SBC allow to store failure events using application software and to 
keep this statistic information available, even if the application controller was un-powered due to 
failure or certain low-power mode. A dedicated register within the SBC allows distinguishing between 
different failure events and thus tracking of different cyclic problems. If a user-defined limit is 
exceeded, the application can now decide, not stai-ting again but enter immediately a low-power 
condition. 
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